浅析电力二次系统安全防护

摘要：随着经济的发展和科学技术水平的不断提高，在电力系统中，自动化技术已经得到推广性使用，在这种情况下，关于电力二次系统的安全性问题成为重点。为此，建立和完善电力二次系统安全防护体系，在一定程度上对于抵御黑客、恶意代码等的攻击，尤其是集团式攻击具有重要的作用，同时对于确保电力二次系统的安全与稳定，以及防止电力系统发生事故也具有重要的意义。

关键词：二次系统 安全防护 电力系统

1 电力二次系统安全防护的基本原则

对电力二次系统进行安全防护的过程中，通常情况下，需要遵守“安全分区、网络专用、横向隔离、纵向认证”的原则。基于网络的生产控制系统进行安全防护，其重点是强化边界防护，通过对内部安全的防护能力进行提升，并在一定程度上对电力生产控制系统，以及重要的数据的安全性进行保护。

对电力二次系统进行安全防护时，一般情况下要遵守以下原则：

1.1 安全分区

安全分区在电力二次系统安全防护体系中是结构基础。按照内部原则，可以将发电企业、电网企业、供电企业等划分为生产控制大区和管理信息大区。对于生产控制大区来说，又可以划分为控制区（安全区Ⅰ）和非控制区（安全区Ⅱ）。

1.2 专用网络及构造

电力调度数据网作为专用数据网络，通常情况下是为生产控制大区提供服务的，同时承载着电力实时控制和在线生产交易等业务。按照系统性原则，在安全防护隔离强度方面，安全区的外部边界网络之间需要与所连接的安全区之间保持相互匹配。

1.3 横向隔离

在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。同时，在生产控制大区内部的安全区之间设置具有访问控制功能的网络设备、防火墙或者相当功能的设施。

1.4 纵向加密认证

通常情况下采用认证、加密、访问控制等技术措施对数据的远方安全传输以及纵向边界的安全进行相应的防护。

2 变电站二次系统安全防护

当采用专用通道和专用协议进行非网络方式的数据传输时，可逐步采取简单加密等安全防护措施。厂站的远方视频监视系统应当相对独立，不能影响监控系统功能。

变电站二次系统安全防护示意图：

3 电力调度数据网采用的防护措施

3.1 网络路由

通常情况下，根据电力调度管理体系，同时结合相应的数据网络技术规范，通过虚拟专网技术进行防护。

3.2 网络边界

为了确保业务系统接入的可信性，需要采用严格的接入控制措施。为了便于广域网通信，可以将授权的节点接入电力调度数据网。

3.3 安全配置网络设备

通常情况下，对网络设备进行安全配置主要包括：对网络服务进行关闭或限定、避免默认路由的使用、对受信任的网络地址范围进行设置、对高强度的密码进行设置、开启访问控制列表、封闭空闲的网络端口等。

3.4 分层分区设置数据网络安全

通常情况下，按照分层分区设置的原则，对电力调度数据网进行设置。省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网。

参考文献：

[1]王远璋.变电站综合自动化现场技术与运行维护[M].北京：中国电力出版社，2008.

[2]毕胜春.电力系统远动[M].北京：中国电力出版社，2007.

[3]王慕维，刘文军.河南电力调度数据网双平面改造优化探讨[J].电力系统通信，2012.

[4]丁书文.变电站自动化原理及应用[M].北京：中国电力出版社，2010（7）.

[5]黄伟，葛敏辉，方兴其.华东区域电力调度数据网应用接入规范[J].电力系统自动化，2008.

作者简介：李磊（1977-），男，大专，工程师，主要从事电力系统自动化、继电保护、电力电子应用等方面的研究。